Udostępnij za pośrednictwem

"Uprawnienia dla tego obiektu zasad grupy w folderze SYSVOL są niespójne z tymi w usłudze Active Directory" komunikat podczas uruchamiania konsoli zarządzania zasadami GRUPY

Ten artykuł zawiera rozwiązanie problemu z uprawnieniami występującego podczas uruchamiania konsoli zarządzania zasadami grupy w domenie systemu Windows Server.

Dotyczy: Windows Server (wszystkie obsługiwane wersje)
Oryginalny numer KB: 2838154

Symptomy

Po uruchomieniu konsoli zarządzania zasadami grupy (GPMC), a następnie wybierz zasady grupy, otrzymujesz jeden z następujących komunikatów:

  • Uprawnienia dla tego obiektu zasad grupy w folderze SYSVOL są niezgodne z uprawnieniami w usłudze Active Directory. Zaleca się, aby te uprawnienia były spójne. Aby zmienić uprawnienia w folderze SYSVOL na te w usłudze Active Directory, kliknij przycisk OK.

    Ten komunikat jest wyświetlany, jeśli masz uprawnienia do modyfikowania zabezpieczeń obiektów zasad grupy (GPO).

  • Uprawnienia dla tego obiektu zasad grupy w folderze SYSVOL są niezgodne z uprawnieniami w usłudze Active Directory. Zaleca się, aby te uprawnienia były spójne. Skontaktuj się z administratorem, który ma uprawnienia do modyfikowania zabezpieczeń tego obiektu zasad grupy.

    Ten komunikat jest wyświetlany, jeśli nie masz uprawnień do modyfikowania zabezpieczeń obiektów zasad grupy (GPO).

Przyczyna

Ten problem może mieć jedną z następujących przyczyn:

  • Lista kontroli dostępu (ACL) w części Sysvol obiektu zasad grupy jest ustawiona na dziedziczenie uprawnień z folderu nadrzędnego.
  • Ręczne zmiany uprawnień w folderze SysVol mogą spowodować niezgodność między uprawnieniami zasad w usłudze Active Directory i folderze SysVol.

Rozwiązanie

Jeśli masz uprawnienia do modyfikowania zabezpieczeń dla domyślnych obiektów zasad grupy, wybierz przycisk OK w odpowiedzi na komunikat, który został wymieniony w sekcji Objawy . Ta akcja modyfikuje listy ACL w części Sysvol obiektu zasad grupy i sprawia, że są one spójne z listami ACL w składniku usługi Active Directory. W takiej sytuacji zasady grupy usuwa atrybut dziedziczenia w folderze Sysvol, jeśli atrybut jest obecny.

Jeśli komunikat nadal jest wyświetlany, sprawdź, czy uprawnienia są ustawione dla grupy Uwierzytelnieni użytkownicy i popraw uprawnienia w razie potrzeby. Problematyczne ustawienie polega na tym, że konta mają uprawnienie Do wyświetlania obiektu listy w usłudze Active Directory. To uprawnienie nie jest mapowe na uprawnienie systemu plików. Poniżej przedstawiono przykładową konfigurację dla uwierzytelnionych użytkowników:

Uprawnienia uwierzytelnionych użytkowników.

Uprawnienia zaawansowane:

Uwierzytelnieni użytkownicy mają dostęp do obiektu listy.

Uwaga 16.

Pamiętaj, aby ustawić uprawnienia odczytu i stosowania zgodnie z MS16-072: Opis aktualizacji zabezpieczeń zasad grupy: 14 czerwca 2016 r. — pomoc techniczna firmy Microsoft.

Jeśli ma to zastosowanie, wykonaj jedną z następujących czynności:

  1. Wybierz pozycję Przywróć wartości domyślne , aby zresetować uprawnienia do ustawień domyślnych.
  2. Usuń grupę z uprawnieniami obiektu Lista z uprawnień usługi Active Directory.
  3. W razie potrzeby zastąp wpis dla konta, taki jak Uwierzytelnieni użytkownicy, wpis kontroli dostępu (ACE), który przyznaje odczyt i, w razie potrzeby, uprawnienia zasad grupy. Określ konto na karcie Zakres w konsoli zarządzania zasadami GRUPY.msc:

Zrzut ekranu przedstawiający domyślne zasady kontrolera domeny.

Możesz to zrobić w obszarze Uprawnienia zaawansowane:

Zrzut ekranu przedstawiający uprawnienia zaawansowane.